从安全走向弹性 戴尔通过现代化安全方案为客户打造零信任体系

今年二十大上讲的最多的就是安全，在数字化浪潮来临的今天，安全不光是国家的头等大事，也是每个企业需要关注的头等大事。目前无论是欧美还是澳洲都在推进数字主权，相较之下，国内在这方面走的更远，中国有数据安全法和等保2.0，安全确保企业的信息和资产仅用于合法的目的。

安全不仅仅有法，还有安全框架

戴尔科技集团大中华区市场部高级顾问李君鹏

说到现代的安全问题，戴尔科技集团大中华区市场部高级顾问李君鹏提到了1999年参加的一次安全备份的培训，美国总部的专家，第一句话就是“现在的备份解决方案不能解决数据备份问题，现在的方案都是十年前的，不能解决现在的问题。”目前安全行业也处在同一情况下，现在的安全问题也一样不能解决现在的安全问题：“以前安全是基于一个假设，我拥有设备的所有控制权，我沿边界布防。而现在是多云的世界，数据是分布的，边界是虚拟的，云的架构不知道就不可能再延边界布防，造成了目前的安全方案不能解决安全问题。”

这样的情况使得过去渐进式的安全部署模式成为了添油战术，对安全的意义已不大。这使得近年来“零信任”进入了安全厂商与用户的视线之中。零信任是一种网络安全架构，也是值得信赖的IT基础架构解决方案，它将企业处理安全问题的方式从单纯依赖周边防御转变为积极主动的防护战略，只允许在生态系统和数据通道中进行已知良好的IT活动。它使企业能够在数据中心、云和边缘实施协调一致的网络安全战略。戴尔科技旨在通过简化零信任架构的设计和集成，成为客户实现零信任的“源动力”。

零信任网络安全架构通过跨现代工作场所堆栈的自动化和编排来加强设备、用户、网络、应用程序、基础设施和数据之间的信任，并利用分析和可见性提供洞察力。零信任遵循以下指导原则：

• 显式验证— 始终根据每个可用数据点验证用户、设备和网络的请求，无论其位置如何；

• 最低权限访问— 限制用户访问他们当前角色和工作职能绝对需要的资源；

• 假设违规— 分段访问，利用端到端加密，并不断寻找威胁和加强防御的方法；

在过去安全验证是可选的，不是必做的，一旦验证了身份就不再防控。而到了零信任时代则要持续验证，始终不被信任。由于跨安全控制点不是一致的， 就存在安全漏洞，所以安全漏洞可以被利用。在安全行业只有三种行为：已知好行业，已知坏行为和未知行为。现在的风险管理要分析各种行为，把坏行为捕获，再去分析未知的行为。到了零信任只允许好行为，未知行为和坏行为一致拒绝，我有策略定义好行为，其余一致拒绝，所以转入零信任对风险管理就变简单了。

在传统模式下，一个人进入大楼之后，要分析他的行为需要大量的时间，在零信任之下每个事件，设备，架构上的行为是明确的，当一这个人的行为与定义有偏差的时候就很容易探查到，和传统安全方式完全不同，目前这一理念正在被快速推进。

当然，好的零信任需要对好行为有适合的权限定位，也就是让员工可以基于自己的业务范围得到适合的最低权限，访问最少的数据。零信任需要业务控制，控制平台和零信任架构打造企业新型的安全模式，这种安全是自上而下的、业务控制比如个人数据不许出境。控制平面分为身份管理：把环境里所有设备用户身份明晰，能干什么不能干什么有定义，哪些应用程序在哪些架构里运行有定义。策略管理是你能干什么。所有设备，用户，应用，在哪儿运行，访问哪些架构都有明确的定义。最下层的基于零信任的基础架构，非常重要，戴尔的基础架构不满足零信任的要求就不能跟控制平面很好的结合在一起。

现代企业安全的要素：

零信任的的基础：产品来自哪里，谁生产的，从下定单到客户手里，中间是否可信，这个厂商按客户的需要从设计到制造到交付的全流程是安全可信的，如果采用不知道是谁生产的，有没有端到端的安全性不知道就没有零信任的基础。

简化零信任的采用：集成的负担太重，一般客户做不了，无论是在控制平面还是专为零进行的设计和集成，客户拿到这个基础架构很容易和现有安全方案结合在一起，更容易让客户采纳。

没有百分百的安全：如何恢复，前面都无效的时候要有恢复解决方案，让业务快速恢复。

要构建一个零信任的系统和单个产品无关，而是一整个方案。光有一层不行，三层是联运关系，只有业务控制没有平面不行，不能构成一个完整零信任架构。目前零信任叫好却不叫座，主要是因为零信任目前是一个架构，没有明确的定义如何配合，没有一个统一的API接口，现在做零信任需要客户自己进行整合，对客户的IT能力要求很高。

戴尔的两大优势：内置安全和端到端信任

戴尔拥有全球服务器的20%，在零信任业务方面戴尔占了很大的比重，戴尔有责任也有能力帮助业界实现零信任的集成，帮助客户解决零信任的集成，并推广零信任，戴尔在其中发挥比较大的作用。戴尔提供从产品的开发开始全生命周期和产品结合在一起，从开发设计到交付的供应链，是一个端到端的整个生命周期管理。

保护数据和系统：重新思考如何保护数据和系统，市场上有成千上万的方案，戴尔是值得信赖的合作伙伴，拥有更多优势。从戴尔角度讲，安全愿景，是安全的，智能的，可扩展的，跨整个行业有一致的目标。

安全应该是内置，但现在安全基本是后加的，一个应用开发完成后再考虑安全问题，这造成安全要尽可能适应原程序，不同的安全模块用不同的安全和方法，没有统一的安全管理，没有统一的安全工具，没有统一的安全方法。

网络弹性用来解决问题

以往，网络安全更多是从一个IT的角度去处理网络威胁，但如今的网络弹性更多是从业务角度思考问题，不管系统发生什么问题，还是系统网络的故障，还是威胁，业务不能停，我都有各种手段使业务持续的动作，这样我的生产不会停，我的业务不会受到损失。

弹性是一种策略，是企业需要的一种策略，演变成企业的一种能力，一种应对各种威胁的能力。最后变成一种结果，无论发生什么威胁，更强的网络弹性都可以保证业务持续不断的运行，这是网络弹性和网络安全最重要的一个区别点。

如何变成网络弹性呢

识别、保护、响应都是安全的范畴，但其中加入恢复的时候就构成了网络弹性。假设发生了威胁怎么办，弹性有一个底限，而不是我的网络安全一定能防住，而是防不住了怎么办，那只有一个手段，恢复。所以恢复是最关键的一步。

小结：

针对零信任，戴尔建议企业没必要一步全面转向零信任，这样企业会面临很多的问题：职责不清，没有零信任的API，把核心数据做网络恢复，检测和响应，导致最终在恢复上投入过少。戴尔建议先识别出核心数据，把基本级定义出来，进行弹性的业务保护，其他在存储服务器网络生命周期结束要更换的时候再更换到零信任架构，逐步转向零信任。

戴尔作为值得信赖的提供商，是最佳的合作伙伴，为客户提供创新的安全解决方案。戴尔的规模和资源可以将流程和技术结合在一起。同时，戴尔的解决方案是经过验证的，用弹性解决方案杂帮助客户经历网络事件的恢复成功率达到97%。